平成22年春期試験午前問題 午前Ⅱ 問15

午前Ⅱ 問15解説へ
SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について,POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して,メールサーバ接続時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ,電子メール受信を許可する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
メールを送信・転送するプロトコルであるSMTPは策定(1982年)されてからの歴史が長く、メール送信に当たって以下の脆弱性があることが広く知られています。
  • 送信処理と転送処理を同一の仕組みで扱っている
  • メールの投稿をするユーザを認証する仕組みがない
  • 暗号化機能が標準で実装されていないため通信経路上を平文のメッセージが流れる
特に上記2つの仕様が原因となり複数のメールサーバの第三者中継を利用したスパムメールの温床となっていました。

SMTP-AUTH(SMTP-Authentication)は、本来メール投稿にあたってユーザ認証の仕組みがないSMTPを拡張し、ユーザ認証機能を追加した仕様です。使用するにはメールサーバとクライアントの双方が対応していなければなりませんが、メール送信するときにユーザ名とパスワードで認証を行い、認証されたユーザのみからのメール送信を許可することで不正な送信要求を遮断することができます。
  • OP25B(Outbound Port 25 Blocking)の説明です。
  • POP before SMTPの説明です。
  • 正しい。SMTP-AUTHの説明です。
  • 架空のドメイン名を使用しているスパムメールでは送信元IPアドレスからドメインの逆引きができません。DNS逆引き方式は、これをスパムメール対策に利用したものです。

この問題の出題歴


Pagetop